Plazofy — Gestión inteligente de notificaciones administrativas

Este Acuerdo de Procesamiento de Datos (DPA) complementa los Términos y Condiciones de Plazofy y se aplica cuando procesamos datos personales en nombre del cliente conforme al Reglamento General de Protección de Datos (RGPD) (UE) 2016/679.

1. Definiciones

Responsable del tratamiento (controlador): El cliente que utiliza Plazofy para gestionar notificaciones y documentos de sus propios clientes.

Encargado del tratamiento (procesador): Plazofy, que procesa datos personales en nombre del responsable.

Datos personales tratados: Nombres, NIF/CIF/NIE, direcciones, emails, teléfonos y datos fiscales/administrativos contenidos en las notificaciones y documentos subidos a la plataforma.

2. Objeto y duración

Este DPA regula el tratamiento de datos personales que Plazofy realiza en nombre del cliente durante la vigencia del contrato de servicio. El tratamiento finalizará cuando el cliente cancele su suscripción y solicite la eliminación de sus datos.

3. Obligaciones de Plazofy como encargado

Plazofy se compromete a:

Tratar los datos personales únicamente según las instrucciones documentadas del responsable y para la finalidad de prestar el servicio contratado.
Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad.
Implementar las medidas técnicas y organizativas apropiadas conforme al artículo 32 del RGPD.
No recurrir a otro encargado del tratamiento sin autorización previa por escrito del responsable (ver sección 5).
Asistir al responsable en la atención de solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, portabilidad).
Asistir al responsable en el cumplimiento de las obligaciones de seguridad, notificación de brechas, evaluaciones de impacto y consultas previas.
A elección del responsable, suprimir o devolver todos los datos personales una vez finalice la prestación del servicio.
Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones.

4. Medidas de seguridad

Plazofy implementa las siguientes medidas técnicas y organizativas:

Cifrado: Datos en tránsito protegidos con TLS 1.3. Datos en reposo cifrados en la base de datos.
Aislamiento: Row Level Security (RLS) en base de datos que garantiza que cada organización solo accede a sus propios datos.
Control de acceso: Autenticación por email + contraseña. Roles de usuario (admin, gestor, visor) con permisos diferenciados.
Copias de seguridad: Backups automáticos diarios de la base de datos con retención de 7 días.
Ubicación: Datos almacenados en servidores de la Unión Europea (Frankfurt, Alemania).
Logging: Registro de accesos y acciones sobre datos sensibles.
Eliminación segura: Los datos se eliminan de forma permanente al cancelar la cuenta.

5. Sub-encargados

El responsable autoriza el uso de los siguientes sub-encargados:

Sub-encargado	Finalidad	Ubicación
Supabase (Pty Ltd)	Base de datos y autenticación	UE (Frankfurt)
Vercel Inc.	Hosting y despliegue	UE
Anthropic PBC	Procesamiento IA de documentos	EE.UU. (con SCCs)
Resend Inc.	Envío de emails transaccionales	EE.UU. (con SCCs)
Stripe Inc.	Procesamiento de pagos	UE / EE.UU. (con SCCs)

Plazofy notificará al responsable cualquier cambio en los sub-encargados con al menos 30 días de antelación.

Estado de los DPA con sub-encargados:

Proveedor	DPA / Addendum	Estado
Supabase	DPA de Supabase	✓ Aceptado
Vercel	DPA de Vercel	✓ Aceptado
Anthropic	Terms + Data Usage Policy	✓ Aceptado
Resend	DPA de Resend	✓ Aceptado
Stripe	DPA de Stripe	✓ Aceptado

Nota: Los DPA de estos proveedores se aceptan implícitamente al aceptar sus términos de servicio comerciales. Todos incluyen Cláusulas Contractuales Tipo (SCCs) para transferencias internacionales cuando aplica.

6. Transferencias internacionales

Cuando los datos se transfieran fuera del Espacio Económico Europeo (como en el caso de Anthropic para el procesamiento IA), se garantizan las salvaguardas adecuadas mediante Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea.

7. Notificación de brechas

Plazofy notificará al responsable cualquier brecha de seguridad que afecte a datos personales sin dilación indebida y, en cualquier caso, en un plazo máximo de 48 horas desde que tenga conocimiento de la misma.

8. Tratamiento de datos por IA

Los documentos procesados por inteligencia artificial (Anthropic Claude) se envían de forma segura y no se utilizan para entrenar modelos de IA. Anthropic opera bajo su política de uso de datos comerciales que garantiza que los datos enviados a través de su API no se emplean para el entrenamiento de modelos.

9. Derechos del responsable

El responsable tiene derecho a:

Acceder a sus datos en cualquier momento desde la plataforma.
Exportar todos sus datos en formato JSON (Configuración → Perfil → Descargar mis datos).
Solicitar la eliminación completa de su cuenta y datos (Configuración → Perfil → Eliminar cuenta).
Solicitar auditorías razonables del cumplimiento de este DPA.

10. Registro de Actividades de Tratamiento

Conforme al artículo 30 del RGPD, Plazofy mantiene un registro detallado de todas las actividades de tratamiento de datos personales. Este registro está disponible públicamente en nuestra página de Registro de Actividades de Tratamiento.

11. Contacto

Para cuestiones relacionadas con este DPA o el tratamiento de datos personales:

Email: privacidad@plazofy.com
Dirección: Jerez de la Frontera, Cádiz, España

Última actualización: febrero 2026